{"id":838,"date":"2019-07-23T09:04:24","date_gmt":"2019-07-23T15:04:24","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=838"},"modified":"2020-02-01T13:27:49","modified_gmt":"2020-02-01T19:27:49","slug":"cisco-wireless-configuracion-del-controlador-freeradius-con-802-1x","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=838","title":{"rendered":"CISCO WIRELESS: Configuraci\u00f3n del controlador + freeradius con 802.1x"},"content":{"rendered":"\n<ul class=\"wp-block-list\"><li>Para  este caso vamos a configurar el punto de acceso Aironet 2802i esta  configuraci\u00f3n ya ha sido probada tambi\u00e9n en los modelos 1832i, 3802e,  cuando se conecta un nuevo AP a la red con su configuraci\u00f3n de fabrica y  este no detecta ning\u00fan controlador inal\u00e1mbrico en la red a la que ha  sido conectado, este punto de acceso asumir\u00e1 el rol de controlador, siempre y cuando esten configurados como MOBILITY EXPRESS,  tenemos garant\u00eda de que los modelos 2802i, 3802e,1832i pueden asumir  dicho rol, se debe verificar que el punto de acceso pueda trabajar como  controlador.<\/li><li>Para  que los puntos de acceso se puedan asociar al controlador deben tener  la versi\u00f3n del software, de otro modo no se van asociar, en este caso  vamos a trabajar con la versi\u00f3n 8.3.143.0.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Paso 1:<\/strong>&nbsp;Se\n conecta el punto de acceso con un cable de red a un equipo de nuestra \nred que tenga PoE y que sea capaz de alimentar al dispositivo.<\/li><li><strong>Paso 2:<\/strong>&nbsp;Se conecta el cable en el puerto consola.<\/li><\/ul>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"606\" height=\"208\" src=\"\/wp-content\/uploads\/2019\/07\/1-7.png\" alt=\"\" class=\"wp-image-839\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/1-7.png 606w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/1-7-300x103.png 300w\" sizes=\"(max-width: 606px) 100vw, 606px\" \/><\/figure><\/div>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Paso 3:<\/strong>\n El puerto del switch se debe configurar como puerto troncal que permita\n las vlans con las que van a trabajar las redes inalambrica (UGIT \nutiliza \u00abpermit all\u00bb permite todas las etiquetas vlan 1-4096), la<strong> vlan nativa<\/strong> debe\n ser la VLAN en la que va trabajar el controlador en nuestro caso vamos a\n usar una red de pruebas como vlan nativa con el ID 251, y vamos a \nredirigir a los clientes como sigue, si se loguea como <strong>estudiante:estudiante(user:password)&nbsp;<\/strong>va a la vlan ID 155, si se loguean como <strong>admin:AA2<\/strong> va a la vlan ID 168, si se loguea como <strong>WTEC:WTEC<\/strong> va a la vlan ID 130 (manejada por computaci\u00f3n TEC).<\/li><li><strong>Paso 4:<\/strong> Cuando el dispositivo termina de cargar el software nos va a preguntar si deseamos terminar el autoinstall, le decimos que si.<\/li><\/ul>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" width=\"385\" height=\"111\" src=\"\/wp-content\/uploads\/2019\/07\/2-5.png\" alt=\"\" class=\"wp-image-840\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/2-5.png 385w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/2-5-300x86.png 300w\" sizes=\"(max-width: 385px) 100vw, 385px\" \/><\/figure><\/div>\n\n\n\n<ul class=\"wp-block-list\"><li>Paso 5:&nbsp;Ahora nos seguir\u00e1 preguntando datos para finalizar la configuraci\u00f3n, estos datos se deben llenar como se muestra:<\/li><li>user: ugit<\/li><li>pass: AAd_0<\/li><\/ul>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" width=\"467\" height=\"603\" src=\"\/wp-content\/uploads\/2019\/07\/3-4.png\" alt=\"\" class=\"wp-image-841\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/3-4.png 467w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/3-4-232x300.png 232w\" sizes=\"(max-width: 467px) 100vw, 467px\" \/><\/figure><\/div>\n\n\n\n<p><strong>NOTA:<\/strong><\/p>\n\n\n\n<p>En el c\u00f3digo de pa\u00eds seleccionamos US  (Estado Unidos), esto es as\u00ed porque en nuestro caso tenemos una  combinaci\u00f3n de versiones de puntos de acceso, unos con \u00abRegulatory  domain\u00bb A y otros con \u00abRegulatory domain\u00bb B, para que funcionen los  radios 2.4GHz y 5GHz en todos los AP debemos escoger el c\u00f3digo de pa\u00eds  US donde no hay restricci\u00f3n de ninguno de estos radios, si escogemos CR  los AP funcionaran solamente con el radio de 2.4GHz.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Paso 5:<\/strong>&nbsp;Al\n finalizar nos pregunta si la configuraci\u00f3n es correcta y si la deseamos\n salvar, le decimos que si, el dispositivo se reiniciar\u00e1 y ya podemos \naccesar al controlador v\u00eda web<\/li><\/ul>\n\n\n\n<p><a href=\"https:\/\/10.20.251.2\">https:\/\/10.20.251.2<\/a><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Paso 6:<\/strong>&nbsp;Al ingresar a la direcci\u00f3n nos pedir\u00e1 el usuario ugit y la contrase\u00f1a AAd0<\/li><\/ul>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"546\" height=\"456\" src=\"\/wp-content\/uploads\/2019\/07\/4-4.png\" alt=\"\" class=\"wp-image-843\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/4-4.png 546w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/4-4-300x251.png 300w\" sizes=\"(max-width: 546px) 100vw, 546px\" \/><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">TODO LISTO!<\/h2>\n\n\n\n<p>Al  ingresar veremos el dashboard del controlador y ahora cada nuevo AP que  se conecte a la misma VLAN que el controlador y tenga la versi\u00f3n de  software&nbsp;<strong>8.3.143.0<\/strong>&nbsp;se asociar\u00e1 de manera autom\u00e1tica y se le copiar\u00e1 la configuraci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Que pasa si el AP que quiero asociar tiene una versi\u00f3n diferente de software?<\/h2>\n\n\n\n<p>En este caso tenemos que actualizar el AP a la versi\u00f3n del controlador en este caso a la versi\u00f3n 8.3.143.0, existen diferentes m\u00e9todos dependiendo de la versi\u00f3n de software y el modo en que  este configurado el AP, el siguiente coman sirve para cuando el AP esta en modo <strong>CAPWAP<\/strong> y en modo <strong>MOBILITY EXPRESS<\/strong>, conectamos el AP a un puerto configurado en la misma vlan que el servidor <strong>tftp<\/strong>, desde la CLI en modo enable, ejecutamos el comando<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>archive download-sw \/reload tftp:\/\/10.20.253.1\/ap3g3<\/code><\/pre>\n\n\n\n<p>En este caso el servidor tftp tiene la direcci\u00f3n IP 10.20.253.1 y la imagen es ap3g3 que corresponde a los modelos Aironet 2802 y 3802. La salida del comando muestra lago similar al lo siguiente:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2019\/07\/Selecci\u00f3n_491-1024x238.png\" alt=\"\" class=\"wp-image-1054\" width=\"799\" height=\"185\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/Selecci\u00f3n_491-1024x238.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/Selecci\u00f3n_491-300x70.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/Selecci\u00f3n_491-768x179.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/Selecci\u00f3n_491.png 1131w\" sizes=\"(max-width: 799px) 100vw, 799px\" \/><\/figure>\n\n\n\n<p>El AP comenzar\u00e1 la descarga de la imagen y se reiniciar\u00e1, luego se podr\u00e1 asociar correctamente con el controlador.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"803\" height=\"278\" src=\"\/wp-content\/uploads\/2019\/07\/5-3.png\" alt=\"\" class=\"wp-image-844\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/5-3.png 803w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/5-3-300x104.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/5-3-768x266.png 768w\" sizes=\"(max-width: 803px) 100vw, 803px\" \/><\/figure>\n\n\n\n<p>Ahora vamos a crear la red inal\u00e1mbrica<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"407\" src=\"\/wp-content\/uploads\/2019\/07\/6-5-1024x407.png\" alt=\"\" class=\"wp-image-845\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/6-5-1024x407.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/6-5-300x119.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/6-5-768x305.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/6-5.png 1627w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"499\" height=\"451\" src=\"\/wp-content\/uploads\/2019\/07\/7-4.png\" alt=\"\" class=\"wp-image-846\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/7-4.png 499w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/7-4-300x271.png 300w\" sizes=\"(max-width: 499px) 100vw, 499px\" \/><\/figure><\/div>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"506\" height=\"393\" src=\"\/wp-content\/uploads\/2019\/07\/8-3.png\" alt=\"\" class=\"wp-image-847\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/8-3.png 506w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/8-3-300x233.png 300w\" sizes=\"(max-width: 506px) 100vw, 506px\" \/><\/figure><\/div>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"500\" height=\"336\" src=\"\/wp-content\/uploads\/2019\/07\/9-3.png\" alt=\"\" class=\"wp-image-848\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/9-3.png 500w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/9-3-300x202.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2019\/07\/9-3-120x80.png 120w\" sizes=\"(max-width: 500px) 100vw, 500px\" \/><\/figure><\/div>\n\n\n\n<p>En\n la VlanID ponemos la etiqueta de Vlan que vamos a usar por defecto, si \nfalla la asignaci\u00f3n de vlan al usuario por alguna raz\u00f3n pero la \nautenticaci\u00f3n es exitosa entonces se le asignar\u00e1 esta vlan al usuario.<\/p>\n\n\n\n<p>En la versi\u00f3n del software 8.3.143.0 los comandos para habilitar <strong>AAA OVERRIDE<\/strong>\n necesitan ser aplicados mediante la CLI dado que en la GUI no est\u00e1n \ndisponibles y son necesarios para que la configuraci\u00f3n deseada funcione.<\/p>\n\n\n\n<p>Para  ello nos logeamos por ssh a la controladora o nos conectamos a ella por  cable de consola, en este caso lo vamos hacer por cable de consola y  aplicamos los comandos que se muestran a continuaci\u00f3n<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Apagamos el SSID al que se la aplicar\u00e1 <strong>\u00abAAA OVERRIDE\u00bb<\/strong><ul><li>&gt;config wlan disable &lt;wlan-id&gt;<\/li><\/ul><\/li><li>Habilitamos&nbsp;<strong>\u00abAAA OVERRIDE\u00bb&nbsp;<\/strong>en el SSID deseado<ul><li>&gt;config wlan aaa-override enable &lt;wlan-id&gt;<\/li><\/ul><\/li><li>Habilitamos el SSID de nuevo<ul><li>&gt;config wlan enable &lt;wlan-id&gt;<\/li><\/ul><\/li><li>&nbsp;Agregamos las vlan necesarias al grupo flexconnect en este caso al default<ul><li>&gt;config flexconnect group default-flexgroup vlan add &lt;vlan-id&gt;<\/li><li>En nuestro caso son las vlan 155,168 y 130<\/li><\/ul><\/li><\/ul>\n\n\n\n<p>Ahora solo resta configurar el servidor FreeRadius, en la gu\u00eda, <strong>PfSense: FreeRadius 802.1x<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Limitar la velocidad de carga y de descarga para cada cliente<\/h2>\n\n\n\n<p>Si as\u00ed lo deseamos podemos establecer la velocidad de carga y descarga de cada usuario o de cada SSID, en nuestro nos interesa limitar la velocidad en cada usuario conectado a la red SIUA_ADM, vamos a otorgar 7Mbps de descarga y 5Mbps para la carga esto para cada usuario conectado a SIUA_ADM por ejemplo. (Puede ser cualquier SSID solo se necesita el Id).<\/p>\n\n\n\n<p>Primero obtenemos el id de SSID donde vamos a usar la limitaci\u00f3n<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >show wlan summary<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"716\" height=\"173\" src=\"\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_115.png\" alt=\"\" class=\"wp-image-2897\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_115.png 716w, https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_115-300x72.png 300w\" sizes=\"(max-width: 716px) 100vw, 716px\" \/><\/figure>\n\n\n\n<p>En este caso el id  para SIUA_ADM es 2, ahora procedemos a hacer la limitaci\u00f3n de velocidad<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"569\" height=\"119\" src=\"\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_116-1.png\" alt=\"\" class=\"wp-image-2900\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_116-1.png 569w, https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_116-1-300x63.png 300w\" sizes=\"(max-width: 569px) 100vw, 569px\" \/><\/figure>\n\n\n\n<p>Son en total 4 \u00abrates\u00bb los que debemos establecer pero debemos hacerlo tanto para carga como para descarga por lo que al final necesitaremos 8 comandos para establecer la limitaci\u00f3n.<\/p>\n\n\n\n<p>Podemos corroborar que actualmente no hay limitaci\u00f3n en SIUA_ADM<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >show wlan 2<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"760\" height=\"228\" src=\"\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_117.png\" alt=\"\" class=\"wp-image-2901\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_117.png 760w, https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_117-300x90.png 300w\" sizes=\"(max-width: 760px) 100vw, 760px\" \/><\/figure>\n\n\n\n<p>Ahora aplicamos los comandos<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >config wlan override-rate-limit 2 average-data-rate per-client downstream 7168\n(Cisco Controller) >config wlan override-rate-limit 2 average-data-rate per-client upstream 5120\n\n(Cisco Controller) >config wlan override-rate-limit 2 average-realtime-rate per-client downstream 7168\n(Cisco Controller) >config wlan override-rate-limit 2 average-realtime-rate per-client upstream 5120\n\n(Cisco Controller) >config wlan override-rate-limit 2 burst-data-rate per-client downstream 15360\n(Cisco Controller) >config wlan override-rate-limit 2 burst-data-rate per-client upstream 10240\n\n(Cisco Controller) >config wlan override-rate-limit 2 burst-realtime-rate per-client downstream 15360\n(Cisco Controller) >config wlan override-rate-limit 2 burst-realtime-rate per-client upstream 10240<\/code><\/pre>\n\n\n\n<p>Para poder aplicar los comandos debemos desabilitar la SSID previamente de lo contrario vamos a obtener un error<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"424\" height=\"34\" src=\"\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_118.png\" alt=\"\" class=\"wp-image-2902\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_118.png 424w, https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_118-300x24.png 300w\" sizes=\"(max-width: 424px) 100vw, 424px\" \/><\/figure><\/div>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >config wlan disable 2<\/code><\/pre>\n\n\n\n<p>Luego de aplicar los comando debemos habilitar de nuevo el SSID<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >config wlan enable 2<\/code><\/pre>\n\n\n\n<p>Podemos comprobar que se aplicaron las limitaciones<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>(Cisco Controller) >show wlan 2<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"694\" height=\"201\" src=\"\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_119.png\" alt=\"\" class=\"wp-image-2903\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_119.png 694w, https:\/\/sada.services\/wp-content\/uploads\/2020\/02\/Selecci\u00f3n_119-300x87.png 300w\" sizes=\"(max-width: 694px) 100vw, 694px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-embed-wordpress wp-block-embed is-type-wp-embed is-provider-unidad-de-gestion-e-innovacion-tecnologica\"><div class=\"wp-block-embed__wrapper\">\n\/?p=500\n<\/div><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Configuraci\u00f3n controlador<\/p>\n","protected":false},"author":2,"featured_media":2051,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[37],"tags":[38],"class_list":["post-838","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cisco","tag-cisco"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"_links":{"self":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/838","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=838"}],"version-history":[{"count":11,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/838\/revisions"}],"predecessor-version":[{"id":2905,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/838\/revisions\/2905"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/media\/2051"}],"wp:attachment":[{"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}